工業控制網絡攻防演練實戰防御手冊

一

前言

攻防演練是指在真實網絡環境下獲取指定目標系統的管理權限為目的的攻擊。攻擊方（紅隊）通過Web滲透、內網滲透、釣魚欺詐、拒絕服務、無線入侵、物理入侵、社會工程學等多種手段對防守方（藍隊）目標系統發起攻擊，最終獲取核心目標系統權限。

盡管攻防演練過程中名義上的攻擊時間段為工作日的9:00-17:00，但實際上攻擊方通常不會遵守時間規則，在非約定時間也可能發起攻擊，且攻擊方可以靈活采用多種攻擊手段。而防守方雖然前期部署了相對完善的防御措施，且做了大量準備工作，卻因擁有龐大的資產體系和架構，可能隨時面臨著防守陣地被突破的處境。

2023年的大型網絡攻防演練活動已經結束，對于成功通過演練的防守方，終于可以松口氣休息一下，總結成功經驗；而系統被攻破的防守方現在估計正忙于復盤，排查安全風險，并制定后續加固措施。本文從防守方的角度出發，梳理一份可落地的安全防護措施，以資產為核心梳理安全風險及應對措施，希望能幫助防守方提升安全防護能力。

二

攻防演練失分案例分析

☆ 百密終有一疏

某次攻防演練過程中，攻擊方首先通過各種方式對攻擊目標進行信息收集；
在得到總部互聯網應用地址，嘗試發起攻擊時，發現總部互聯網入口防護體系完善，部署有防火墻、WAF等防護措施，且攻擊方IP地址被封禁；
在嘗試攻擊總部無果的情況下，攻擊目標轉向分支；
重新收集該集團下屬分支相關資產信息，對收集的信息進行分析后，選擇新成立的分支機構作為目標（因為新成立的機構一般安全建設相對較弱）；
對選擇作為目標的分機構的相關信息進行收集整理、分析，并擴大信息收集范圍；
發現分支某公告系統發布公告稱有新的VPN系統上線，且使用手冊存于第三方網盤，并給出了網盤的鏈接地址。通過給出的網盤鏈接地址，在第三方平臺找到重要信息，包括VPN使用手冊，各大區VPN賬號和密碼，以及發現了內部OA系統訪問地址；
通過收集到的VPN賬號、密碼信息進入分支機構內網；
通過橫向滲透，拿下分支內網部分PC及服務器系統權限，并在此基本上進行信息收集、配置檢索等；
通過在內網收集的相關信息，拿下分支核心域控權限，進一步分析發現該域控服務器擁有訪問總部內網權限；
利用漏洞突破總部內網服務器（發現總部的服務器上有部署安全軟件，且該安全軟件具備系統補丁修復功能，但管理人員卻沒有利用該功能用于修補系統漏洞，導致服務器存在未修復的漏洞，從而被入侵成功）。

上述案例中，目標系統被攻破的原因主要有以下幾點：

1)風險消除不到位：重要信息發布到互聯網、重要系統漏洞未修復；

2)防御體系不健全：分支防御能力薄弱，且分支到總部路徑防御措施不全面；

3)缺乏完善的感知、分析、決策、響應體系：互聯網側缺乏APT攻擊感知能力，對分支機構的安全威脅缺乏監測分析措施。

另外，防守方存在典型的防守誤區，錯誤理解“關鍵目標”，對目標系統作為防守核心對象進行防護，而忽視了集權系統（如堡壘機、域控、安全管理平臺等）等對像的防護；其次，對“攻擊路徑”理解偏差，并非只有互聯網出入口才是攻擊路徑，下級單位、外聯Wi-Fi、移動介質、釣魚郵件等都是攻擊路徑。

上述問題在安全防護過程中普遍存在，企業往往將防護重心放在數據中心端，而忽視了分支機構、遠程接入用戶等“內部”因素安全防護，而企業的整體安全性往往取決于最薄弱的一個環節。因此在攻防對抗時，防守方應從整體視圖出發，針對性的加強易受攻擊資產的安全防護。

三

從攻擊者視角看安全防護思路

圖 1攻擊殺傷鏈示意圖

網絡安全的本質是攻防對抗，攻防雙方在彼此對抗過程中不斷產生新的攻擊技術及手段，但由于攻擊時間緊、任務重，其攻擊步驟依然有跡可循。大體上可分為偵查跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令控制，最終達成攻擊目的。

我們從攻擊步驟中可以了解到攻擊者通常會采用的一些攻擊手段，如資產掃描、文件遍歷、惡意代碼、釣魚郵件、口令爆破等等。同時攻擊者出于攻擊成本考慮，會優先攻擊高權限賬號（如管理員、目標系統管理賬號）、優先攻擊運維人員終端或賬號、優先攻擊域控、身份認證系統、運維管理系統、終端管理系統等關鍵資產，從而獲得目標對象大部分系統的控制權限。

作為防守方，面對處于暗處的攻擊者，一方面需要了解攻擊方攻擊步驟及可能采用的攻擊手法，根據攻擊特點部署相應的安全防御體系；另一方面需要對自身現狀做到清晰畫像，包括防守區域范圍、防守區域內資產信息、現有防御措施等進行全面梳理。由于資產梳理是否全面直接影響后續整體風險判斷，因此可從互聯網資產、分支機構資產、外聯資產、硬件資產、軟件資產、業務資產等多維度進行交叉排查與梳理，避免漏查而給攻擊者可乘之機。

為提高資產梳理效率，避免遺漏，防守方可通過工業互聯網雷達產品作為輔助工具，通過分布式并行掃描技術，實現網絡設備、安防監控設備、工業網絡設備、工業應用軟件、工控控制設備等資產自動識別與無損漏洞探測。如下圖所示：

圖 2工業互聯網雷達工控資產探測

對于工控系統等重要信息基礎設施，業務的連續性與穩定性至關重要。傳統的有損漏洞探測方式并不適用此類設備。傳統的掃描產品為了保證漏洞識別的精準度，探測器會向被探測設備發送含有一定攻擊特征的報文，會對目標系統帶來攻擊性和不穩定性。

工業互聯網雷達采用無損漏洞探測技術，利用正常協議控制命令，獲取設備漏洞信息，保證探測行為與業務行為的一致，從而實現了在不影響系統正常作業基礎上的漏洞探測。

圖 3工業互聯網雷達資產態勢可視化展示

圖 4資產漏洞實時預警

四

藍隊防御實操建議

完成資產梳理之后，防守方應重點關注安全風險較大的資產，針對性的加強高風險資產的防護措施；同時縮小資產暴露面，并加強安全隔離與權限管控。下面以終端、網絡設備、工控設備等角度梳理安全風險，并提出相應的防范建議。

終端

終端作為網絡中的關鍵計算資源，承載著數據采集、操作管控等重任。其組成部分包含操作系統、系統應用、第三方應用、數據庫等資源，不可避免的存在安全漏洞。特別是操作系統，作為驅動計算設備正常運轉的核心軟件，其潛在漏洞一旦被攻擊者利用，將可能取得目標設備的完全控制權。另外，數據庫在各類應用程序和系統中被廣泛使用，且存儲大量業務數據。但由于數據庫自身存在漏洞利用的風險，數據庫管理員又通常擁有高級權限，因此通過攻擊數據庫，攻擊者更容易從內部獲取更多權限，進而實施數據篡改、竊取數據、數據加密勒索等惡意攻擊。

圖 5終端易受攻擊資產示例

另外，移動介質作為數據流轉的載體，在日常辦公網絡中廣泛使用。但移動介質同樣也是攻擊者攻擊武器投遞的重要途徑，極易引入病毒感染、勒索攻擊、內部滲透、數據泄露等安全威脅。工業生產網絡中，在電力、化工等行業針對移動介質制定了相應的管理制度，但其他大部分行業同樣存在移動介質濫用的問題，給生產安全運行帶來極大隱患。

針對終端設備，攻擊者通常會采用漏洞利用、DDoS攻擊、口令暴力破解、病毒木馬、勒索軟件、釣魚攻擊、供應鏈攻擊、社會工程學等攻擊手段。針對終端設備，建議采取如下防范措施：

☆ IT網終端：

關注安全漏洞，及時更新系統及相關應用軟件，及時修復漏洞；
謹防釣魚攻擊，使用可信任的軟件源和供應商；
強化訪問控制，使用強密碼和多因素身份認證；
關閉中斷自動播放功能，并通過安全軟件對移動介質進行注冊管控；
配置防火墻和安全軟件，對病毒、木馬、入侵攻擊等進行病毒查殺與攻擊防御。

☆ OT網終端：

考慮到生產網絡特性，漏洞無法及時更新，建議采用工控主機衛士，應用白名單控制，加強應用權限管控，只允許生產所需應用運行，阻斷非必要應用使用，降低安全風險；
業務應用需經過離線安全評估和測試驗證，建議通過工控主機衛士應用商店功能實現應用的動態更新；
采用強密碼及雙因子認證Key，加強終端認證管控；并通過制定強制訪問控制策略進一步保障終端內部核心業務及數據的安全性；
通過制定網絡訪問白名單，阻斷非必要的網絡訪問；同時加強終端光驅、藍牙、串口、并口、無線等外設權限管控，避免通過外設引入安全威脅，進一步保障終端安全性；
通過工控主機衛士對移動介質開啟注冊及權限管控，未經注冊的移動介質無法訪問；注冊后的移動介質進一步對其“讀”、“寫”、“執行”權限進行控制，進一步提升移動介質使用過程中的安全性。

網絡設備

路由器、交換機、防火墻、運維管理系統、身份認證系統等作為網絡中的關鍵資產，其安全性高度依賴正確的配置。倘若配置不當或存在安全漏洞，一旦攻陷，攻擊者即可控制防護設備，構建僵尸網絡；或者篡改防護策略，從而繞過防御機制，直接訪問內部關鍵資產，導致敏感數據泄露、系統癱瘓及其他安全風險。

針對網絡設備，攻擊者通常會采用漏洞利用、DDoS攻擊、口令暴力破解、ARP欺騙、中間人攻擊等攻擊手段。針對網絡設備，建議采取如下防范措施：

☆ IT/OT網網絡設備：

關注安全漏洞，及時更新系統及相關應用軟件，及時修復漏洞；
強化訪問控制，使用強密碼和多因素身份認證；
業務與管理分離，組建獨立管理網，僅允許受信任的IP地址或網絡進行管理訪問；
針對網絡入向、出向網絡訪問配置適當的訪問控制規則及安全防護策略，僅開放必須的網絡服務和端口；
部署入侵檢測、高級威脅檢測系統，實時監測網絡流量，對攻擊行為進行實時告警；
對關鍵資產日志進行統一采集與分析；定期備份設備配置和日志文件；
使用安全的協議（如HTTPS）進行加密通信或建立VPN隧道。

工控設備

工業自動化系統作為生產網絡的核心資產，實現對生產各環節自動化控制與管理。隨著生產網絡智能化、數字化改造的不斷深入，生產網絡各資產互聯互通水平不斷提高，生產網絡內部核心資產的暴露面逐漸增多。但由于生產網絡對可靠性要求較高，此類設備通常不會及時修補安全漏洞，且普遍缺乏安全防護措施，攻擊者可利用漏洞或者生產上位機作為跳板對控制系統發起攻擊，進而操縱生產過程、篡改數據或程序，最終導致生產中斷、物料報廢甚至人員傷亡等嚴重后果。

常見的工業自動化設備包括PLC、DCS、工業機器人、AGV小車等等。針對工控設備攻擊者常用的攻擊手段包括：漏洞利用、無線攻擊、惡意軟件、物理攻擊、DDoS攻擊、供應鏈攻擊等。針對工控設備，建議采取如下防范措施：

關注安全漏洞，條件允許的情況下及時更新系統及相關應用軟件，及時修復漏洞；
強化訪問控制，使用強密碼和多因素身份認證，限制對工業設備的物理和遠程訪問權限；
實施網絡隔離，將工業控制網絡、生產無線網絡、生產有線網絡、辦公網絡進行嚴格隔離與訪問控制；
在關鍵網絡區域邊界部署專業的工業防火墻設備，深度解析生產網內部工業生產流量，采用“白名單”機制對工控協議中的操作指令、值域范圍、工藝邏輯等進行細粒度管控，保障工業生產的安全性；
工業防火墻采用硬件級寫保護策略實現配置與管理分離，避免攻擊者利用防火墻層面漏洞或者物理攻擊方式篡改防護策略，進一步保障防護效果；
定期進行離線安全測試和漏洞掃描，定期進行數據備份；
通過工業互聯網雷達對工業生產網絡資產進行自動探測，形成多維度的資產及漏洞數據統計分析，包括設備類型、廠商、型號、固件版本號、漏洞類型、危險級別、影響范圍等。通過技術手段對資產進行全面梳理，進一步縮小資產暴露面。

在攻防對抗中，提前發現攻擊意圖能幫助防守方制定更有效的防御措施。因此，針對易攻擊資產進行安全加固后，有必要加強安全威脅監測與預警體系建設。任何攻擊都會通過網絡并產生網絡流量，攻擊數據有著獨特的標識特征，通過全網絡流量設備捕獲攻擊行為是目前最有效的安全監控方式。

面對日益復雜、隱蔽的攻擊手段，防守方僅依靠傳統的入侵檢測系統往往無法發現安全威脅。因此可通過高級威脅檢測系統進行監測，通過威脅情報、下一代入侵檢測、異常檢測、病毒木馬檢測、惡意代碼基因圖譜檢測、未知威脅沙箱行為檢測、惡意流量人工智能檢測等多種技術，對網絡中的南北流量/東西流量進行全面深度威脅檢測與溯源分析。

圖 6高級威脅檢測系統業務處理流程

傳統的基于特征的檢測手段，如IDS或殺毒軟件無法及時有效的應對新產生或手段高明的網絡攻擊，而高級威脅檢測系統融合人工智能檢測模型，具備對全新威脅的適應及預測能力，可以更加智能、精準的發現APT等未知威脅。

同時，高級威脅檢查系統可作為防守方的分析工具，從流量、文件、攻擊手段、攻擊階段等多角度進行管理分析，可幫助防守方發現更多的攻擊威脅事件，減少盲點，更可將不同階段的攻擊事件進行串聯，方便判斷攻擊進行到什么階段以及溯源攻擊的過程。

圖 7高級威脅檢測系統攻擊鏈關聯分析

另外，高級威脅檢測系統可作為防守方溯源分析工具，通過事件追溯、文件追溯、元數據追溯、文件采集存儲等多種手段幫助防守方定位攻擊源，更好的判定攻擊的性質、手段和影響，從而確定合理的應對措施。

圖 8高級威脅檢測系統威脅溯源

五

結束語

本文從資產梳理、易受攻擊資產、縮小風險暴露面等角度提出了防御實操建議。當然，攻擊者通常還會采用各種系統、協議、應用等層面的安全漏洞繞過防護措施進行攻擊，僅憑上述內容無法全面抵御攻擊。企業還需要加強網絡安全檢測系統、網絡運維響應體系、網絡安全評估預測體系建設，從而孵化出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的安全能力，更有效的抵御攻擊。